5. Julkisen avaimen salaus

Transkriptio

1 Osa3: Matematiikkaa julkisen avaimen salausten taustalla 5. Julkisen avaimen salaus Public key cryptography 5. 1 Julkisen avaimen salausmenetelmät - Diffien ja Hellmannin periaate v RSA:n perusteet 5. 2 Symmetrisestä avaimesta sopimisen menetelmät - RSA key exchange - Diffie Hellman avaimenvaihto - Diskreetin logaritmin ongelma DLP - Generoiva alkio 5. 3 Sykliset ryhmät ja DLP:hen perustuvat salaimet - ElGamal salausalgoritmi - Sykliset ryhmät elliptisillä käyrillä - Elliptisen käyrien Diffie- Hellman avaimenvaihto - ElGamal Elliptisillä käyrillä

2 Julkisen avaimen salauksen matematiikkaa Huom! Seuraavassa esityksessä otetaan hieman vapauksia jakojäännösaritmetiikan merkintöjen suhteen: kongruenssia a b ( mod n) merkitään a = b mod n.

3 Peruskäsitteiden kertaus Merkintöjä: Kokonaislukujen joukko Z = {,-2, -1, 0, 1, 2,,,,, } Äärellinen Z:n osajoukko Z n = { 0, 1, 2,..., n 1} Alkuluvut (prime numbers) ja yhdistetyt luvut (composite numbers): Positiivinen kokonaisluku on alkuluku, jos se on jaollinen vain itsellään ja 1:llä. Jos positiivinen kokonaisluku ei ole alkuluku, se on yhdistetty luku. Esim. Mitkä seuraavista ovat alkulukuja, mitkä yhdistettyjä? a) 31 b) 59 c) 177 d)

4 JAKOALGORITMI, osamäärä ja jakojäännös: (division algorithm, quotient, remainder) Jos a ja b ovat kokonaislukuja, on olemassa yksikäsitteiset kokonaisluvut q ja r siten, että a = q b + r Esim. Luku 1321 jaetaan 521:llä. Laske osamäärä ja jakojäännös = 2* Osamäärä on 2, jakojäännös 279 DIVISORI ELI JAKAJA: b on luvun n jakaja, jos jakojäännös jaettaessa luku n b:llä on 0. Sanomme tällöin myös, että luku b jakaa luvun n. Määritä luvun a) 45 ja b) 23 divisorit a) Tuloesitys: 45 = 1*3*3*5 Divisorit: 1, 45, 3, 5, 9, 15 b) Tuloesitys : 23 = 1*23 Divisorit: 1 ja 23 KOKONAISLUKUJEN YKSIKÄSITTEINEN ALKULUKUESITYS Jokainen kokonaisluku voidaan esittää yksikäsitteisesti alkulukutekijöidensä tulona Esitä kokonaisluvut a) 45 ja b) 20 alkutekijöidensä tulona. a) Tuloesitys: 45 = 3*3*5 b) Tuloesitys : 20 = 2 2 *5

5 Jakojäännösaritmetiikka Joukossa Z n = { 0, 1, 2,..., n- 1} voidaan määritellä yhteen-, vähennys-, kerto- ja potenssilasku jakojäännöksiä mod n Esim. Laske joukossa Z 13, jossa yhteen- ja kertolasku on määritelty mod 13 a) b) 7 13 c) 4*12 d) 3 4 a) mod 13 = 16 mod 13 = 3 b) 7 13 mod 15 = -6 mod 15 = 15-6 = mod 9 = 9 c) 4*12 mod 13 = 48 mod 13 = 9 d) 3 4 mod 11 = 81 mod 11 = 4 Kysymys: Voidaanko jakojäännösaritmetiikassa määritellä myös jakolasku a/b? Tähän vastaaminen onnistuu parhaiten ottamalla käyttöön ryhmän käsite.

6 Ryhmä (Group) Olkoon G joukko jossa on määritelty laskutoimitus *. Tällöin G:tä sanotaan ryhmäksi, jos laskutoimituksella on seuraavat ominaisuudet G1: a*b kuuluu G:hen aina kun a,b ϵ G G2: (a*b)*c = a*(b*c) kaikille a,b,c ϵ G G3 G4 Joukossa G on olemassa neutraalialkio e (vrt. luku 1), jolle e* a = a*e = a kaikille a ϵ G Jokaisella G:n alkiolla a on olemassa käänteisalkio a -1, jolle a -1 * a = a* a -1 = e Ryhmää sanotaan Abelin ryhmäksi, jos edellisten lisäksi on voimassa G5: a*b = b*a kaikille a,b ϵ G

7 Esimerkkejä ryhmistä a) Kokonaisluvut Z muodostavat selvästikin ryhmän yhteenlaskun a + b suhteen. Neutraalialkiona on selvästikin luku 0: a + 0 = 0 + a = a Jokaisella kokonaisluvulla on käänteisalkiona sen vastaluku: a + ( - a) = -a + a = 0 b) Kokonaisluvut Z eivät muodosta ryhmää kertolaskun a * b suhteen. Neutraalialkio kyllä löytyy: luku 1: a*1 = 1*a = a, mutta kokonaisluvuilla ei ole käänteislukua kokonaislukujen joukossa. esim. Luvun 2 käänteisalkio ½ ei ole kokonaisluku Murtoluvut Q \ {0} sen sijaan muodostavat ryhmän kertolaskun suhteen, kun luku 0 on ensin poistettu joukosta. Luku 0 pitää poistaa, koska sillä ei ole käänteislukua. (1/ 0 ei ole määritelty)

8 Äärelliset ryhmät Salausmenetelmissä käytetään äärellisiä ryhmiä. Äärellisen ryhmän kertotaulussa 1) jokainen rivi ja sarake sisältää ryhmän alkiot uudessa järjestyksessä eli jokainen rivi ja sarake on ryhmän alkioiden permutaatio. 2) Ryhmän alkio voi olla vain yhdellä rivillä ja yhdessä sarakkeessa kertotaulussa. Esim. Täydennä seuraava 4:n alkion e, a, b, c Abelin ryhmän kertotaulu, missä e on neutraalialkio.

9 Eulerin lause Olkoon äärellisen Abelin ryhmän G alkioiden lukumäärä n. Tällöin ryhmän mielivaltaiselle alkiolle a on voimassa a n = 1, jos neutraalialkiota merkitään 1:llä Todistus: Kertotaulun 1. rivi g 1, g 2,..., g n. Kertotaulun eräällä rivillä on 1. rivin alkiot kerrottuna luvulla a. Koska molemmat rivit sisältävät samat alkiot eri järjestyksessä, on oltava: g 1 *g 2 *...g n = (a g 1 )* (a g 2 ) *... *(a g n ) = a n (g 1 *g 2 *... g n ) Tulo (g 1 *g 2 *... g n ) on ryhmän alkio, joten sillä on käänteisalkio. Kertomalla yhtälö puolittain tuolla käänteisalkiolla saadaan 1 = a n Ts. a n = 1

10 Kertolaskuryhmä Z n * Julkisen avaimen salauksen tämänhetkiset salausstandardit, RSA ja Diskreetin logaritmin ongelmaan perustuvat järjestelmät kuten Diffie Hellman avaimesta sopiminen ja Elgamal perustuvat jakojäännösaritmetiikkaan kertolaskuryhmässä Z n * Tutkitaan tätä kertolaskuryhmää tarkemmin.

11 Tapaus1: n on alkuluku, esim Z 11 * Kertotaulu, jossa on laskettu kaikki tulot a*b mod 11, esim. 7*5 mod 11 = 35 mod 11 = 2 Havainto: neutraalialkio = 1, kaikilla luvuilla paitsi luvulla 0 on käänteisluku. Kun se jätetään pois, saadaan ryhmän alkioiksi Z 11 * = [1. 2.,,,, 10}, yhteensä 11 1 eli 10 alkiota YLEISESTI: Kun p on alkuluku, kertolaskuryhmä Z p * = {1,2,..., p 1) Eulerin lauseesta Abelin ryhmille seuraa Fermat n lause: Kun p on alkuluku, a p-1 mod p = 1 kaikille 1 a p-1

12 Z 11 *n kertotaulu on siten seuraava Alkioiden määrä Φ(11) = 10 kpl

13 Tapaus2: n yhdistetty luku, esim Z 10 * Kertotaulu, jossa on laskettu a*b mod 10, esim. 4*4 mod 10 = 16 mod 10 = 6 Vain luvuilla 1, 3, 7 ja 9 on käänteisluvut. Ne ovat ainoat luvut välillä 0-9, joille GCD(a, 10 ) = 1. Niiden lukumäärä on φ(10) = φ(2*5)= 1*4 = 4 kpl. Siten kertolaskuryhmä Z 10 * = {1,3,7,9] YLEISESTI: Kertolaskuryhmä Z n * koostuu niistä luvuista a välillä 1... n-1, joille GCD(a, n) = 1. Niiden lukumäärä on φ(n) Eulerin lause: a φ(n) mod n = 1 kaikille kertolaskuryhmän Z n * alkioile a.

14 Z 10 *n kertotaulu Alkioiden määrä Φ(10) = 4 kpl

15 Eulerin funktion ominaisuuksia Φ(n) antaa niiden kokonaislukujen a lukumäärän välillä 1... n-1, joilla ei ole yhteisiä tekijöitä luvun n kanssa, ts. joille GCD(a,n) = 1. Luvuilla a on tällöin kertolaskun suhteen käänteisluku mod n. Φ(n) on samalla kertolaskuryhmän Z n * alkioiden lukumäärä. Eulerin funktion laskeminen: 1) Φ(p ) = p 1, kun p on alkuluku 2) Φ(n) = (p-1)(q-1), kun n = p*q missä p,q ovat alkulukuja 3) Φ(n) = n (1-1/p 1 ) /1-1/p 2 ),,, Missä p 1, p 2,... ovat luvun n eri alkulukutekijöitä

16 Esimerkkejä Φ(n):n laskemisesta Laske a) Φ(29) b) Φ(35) c) Φ(36): a) 29 on alkuluku => Φ(29) = 29 1 = 28 b) 35 on 7*5 (kahden alkuluvun tulo)=> Φ(35) = 6*4 = 24 c) 36 = 2 2 *3 2 => Φ(36) = 36 ( 1- ½)(1-1/3) = 12 Φ(n) kuvaaja kun n 100 Yläreunan pisteet kuuluvat alkuluvuille. Alimmat pisteet kuuluvt luvuille, joilla on paljon pieniä tekijöitä.

17 Sykliset ryhmät Aliryhmän määritelmä: Aliryhmä (subgroup): H on ryhmän G aliryhmä jos 1) H sisältyy G:hen 2) H on itsekin ryhmä (toteuttaa ryhmän aksioomat) 3) Laskutoimitus * on sama H:ssa ja G:ssä Ryhmän Z 10 * aliryhmä on esim. {1,9}

18 Syklinen ryhmä Ryhmä G on syklinen, jos siinä on alkio, jonka potenssit generoivat ryhmän kaikki alkiot, ts. Jos on olemassa g ϵ G, jolle G = g, g 2, g 3,..., g n = e, miss n on G:n alkioiden lukumäärä Alkiota g, jonka potenssit antavat kaikki ryhmän alkiot, sanotaan ryhmän G generoivaksi alkioksi (group generator) eli primitiivijuureksi. Muut kuin generoivat alkiot generoivat ryhmän aliryhmiä. Aliryhmän koko on aina ryhmän koon divisori. Alkion g kertaluvulla, Ord(g) tarkoitetaan sen generoiman aliryhmän kokoa. Kertolaskuryhmät Z n * ovat syklisiä, ts. Niistä löytyy generoivia alkioita, mikäli modulus n on muotoa 2, 4, p, p k, 2p k, missä p on alkuluku G:n alkioiden virittämien aliryhmien kokoja koskeva kaunis tulos: Olkoon ryhmän G koko n. Kaikille n:n divisoreille d on olemassa φ(d) G:n alkioita, joiden virittämän aliryhmän koko on juuri d.

19 Z p *:n potenssitaulu (p alkuluku) Esim. Z 11 * Generaattoreita on 4 kpl : 2, 6, 7 ja 8 φ(10) = 4 Aliryhmän, jonka koko on 5, virittävät 3,4,5 ja 9 φ(5) = 4 Aliryhmän, jonka koko on 2 virittää alkio 10 φ(2) = 1 Neutraalialkio 1 virittää pienimmän aliryhmän, jonka koko on 1. φ(1) = 1

20 Esimerkki kertolaskuryhmästä, jossa ei ole generoivaa alkiota Z 15 * potenssi A L K I O Kertolaskuryhmistä Z n * löytyy generoivia alkioita, mikäli modulus n on muotoa 2, 4, p, p k, 2p k, missä p on alkuluku. Luku 15 ei ole em. muotoa, joten ryhmä ei ole syklinen. Alkoiden kertaluvut jäävät enintään neljään.

21 Kuvissa näkyy alkioiden potenssien muodostamia aliryhmiä graafeina. Alkio 5 virittää aliryhmän {5,3,4,9, 1}. Se ei siis ole generoiva alkio. Alkio 6 virittää koko ryhmän Z 11 * = {6,3,7,9,10,5,8,4,2,1} Siten 6 on ryhmän generaattori.

22 Sovellus: Diffie Hellman key exhange -protokolla Menetelmä, jolla yhteyden osapuolet voivat sopia symmetrisestä salausavaimesta. Algoritmi esitettiin 1977 kuuluisassa konferenssipuheessa, jossa Diffie ja Hellman ensimmäistä kertaa esittivät julkisen avaimen salauksen perusperiaatteen. Puheessaan he esittivät metodin, jolla voidaan turvallisesti sopia esim. AES avaimesta ennen istuntoa DH menetelmä on yleisesti käytössä esim. AES:lla salatuissa videoneuvotteluyhteyksissä. Kryptologit Diffie ja Hellman luvun alussa

23 Diffie Hellman avaimesta sopiminen Järjestelmäparametrit alkuluku p ja Z p * :n generaattori g on annettu. Turvallinen koko modulukselle p on 2048 bittiä. Alice valitsee luvun a Bob valitsee luvun b y a = g a mod p y b = g b mod p * A ja B laskevat ja lähettävät toisilleen julkiset avaimensa Ya ja Yb K = Y ba mod p K = Y ab mod p A ja B laskevat symmetrisen avaimen K = g ab mod p

24 Järjestelmäparametrit p ja g Alkulukumodulus p luodaan alkulukugeneraattorilla, jollainen löytyy kryptologiaan käytettävistä ohjelmointikielistä. Generoiva alkio q luodaan seuraavalla algoritmilla: 1. Generoidaan satunnaisluku g väliltä 1... (p-1) 2. Testataan sen kertaluku Ord(g) (ts. alkion g virittämän aliryhmän koko) kertolaskuryhmässä Z p seuraavasti. a) Etsitään luvun p-1 divisorit eli jakajat d b) Lasketaan potenssit q d mod p kaikille p-1:n divisoreille c) Jos ainoastaan g p-1 mod p = 1, q on generoiva alkio Toistetaan askelia 1 ja 2, kunnes löydetään generoiva alkio.

25 Esim. parametrien p ja g luonnista 1. Generoidaan alkuluku p ( tässä väliltä ) RandomPrime[{150,200}] Ans: 173 Komento wolframalphalla 2. Kertolaskuryhmän Z 173 * mahdolliset aliryhmien koot ovat p-1:n jakajat: Divisors[172] Ans: 1,2,4, 43, 86, Valitaan generaattoriehdokas ja testataan, onko sen kertaluku 172 vai pienempi. Ehdokas1: g = ^{1,2,4,43,86,172} mod 173 Ans: {10, 100, 139, 1, 1, 1} => kantaluvun 10 kertaluku = 43 => luku 10 ei ole generoiva alkio Ehdokas 2: g = 11 10^Divisors[172] mod 173 {11, 121, 109, 93, 172, 1]} => 11 on generaattori

26 Diffie Hellman esimerkki Järjestelmäparametrit p = 173 ja g = 11 Alice valitsee luvun a = 17 Bob valitsee luvun b = 56 y a = mod 173 = 69 y b = mod 173 = 43 * A ja B laskevat ja lähettävät toisilleen julkiset avaimensa K = mod 173 = 132 K = mod 173 = 132 A ja B laskevat symmetrisen avaimen K = g ab mod p Sovittu symmetrinen avain on 132.

27 DH :n turvallisuus, DLP Murtaakseen DH:n turvallisuuden hyökkääjän tulisi kyetä laskemaan X:n julkisesta avaimesta Yx eksponentti x. DLP : Ratkaise x yhtälöstä Y x = g x mod p Tämä on ns. Diskreetin logaritmin ongelma, Discrete Logarithm Problem. Se on yksi lukuteorian ns. kovista ongelmista. Yleisesti katsotaan, että jos modulus p on väh bittinen, ei käyttäjän yksityistä avainta x ole mahdollista murtaa tällä hetkellä tiedossa olevilla parhaillakaan algoritmeilla. On tärkeää selvittää g:n kertaluku aiemmin kuvatulla tavalla. g:n tulisi olla generoiva alkio. Joskus hyväksytään kantaluvuksi muitakin kuin generoivia alkioita, jos aliryhmän koko on lähellä koko ryhmän suuruusluokkaa p 1.

28 Alkulukujen generointi 1. Generoi pariton satunnaisluku halutulta väliltä 2. Suorita alkulukutesti. Jos testitulos on negatiivinen, palaa kohtaan 1 Huom. Lukujen kasvaessa alkuluvut harvenevat. Siksi suurten alkulukujen generointi esim. RSA:ta tai DH- algoritmia varten voi olla hidasta.

29 Vahvat alkuluvut (strong primes) Vahva alkuluku p on alkuluku, jolle p-1:llä on suuri alkulukutekijä, esim. kun p 1 = 2* r, missä r on alkuluku 1. Diskreetin logaritmin ongelma DLP on erityisen vaikea ratkaista ryhmässä Z p, missä p on vahva alkuluku => DH protokolla on tavanomaista turvallisempi. 2. Lisäksi järjestelmäparametrien generoinnissa kantaluvun g kertaluvun selvittäminen on helpompaa kun p on vahva alkuluku. Jos p on suuri, luvun p- 1 divisoreja ei välttämättä saada selville. Tällöin jos p 1 = 2*r, missä r olisi alkuluku, p-1:n divisorit ovat 1, 2, (p-1)/2 ja (p-1) ja kantaluvun g kertaluku selviää korottamalla se em. potensseihin.

30 Alkulukutestit Deterministiset alkulukutesti ovat hitaita, niitä ei voi käyttää suurten lukujen testaukseen. Käytetyt alkulukutestit ovat probabilistisia: * Jos testi antaa, että luku on yhdistetty luku, tulos on 100% varma. Jos testi antaa, että luku on alkuluku, tulos ei ole 100% varma. On vähäinen mahdollisuus, että luku on silti yhdistetty luku. Tämän mahdollisuuden todennäköisyys on hyvissä alkulukutesteissä laskettavissa. 1) Fermat n testi perustuu Fernat n lauseeseen. Se ei ole kovin yleisesti käytössä, mutta esim. PGP salausohjelmisto on käyttänyt sitä 2) Rabin-Millerin testi on yleisimmin käytetty alkulukutesti. Se on nopea ja sen erehtymistodennäköisyys tunnetaan ja sitä voidaan säädellä parametrillä.

31 Fermat n alkulukutesti INPUT: testattava alkuluku n kierrosten lukumäärä k TOISTA k kertaa {arvo satunnaisluku a väliltä 2... (n-1) Jos a n-1 mod n 1, tulos = FALSE, lopeta testi} Jos jokaisella kierroksella a n-1 mod n = 1, niin testin tulos = TRUE ( n = alkuluku) Testi perustuu Fermat n lauseeseen, jonka mukaan a n-1 mod n = 1 kaikilla kantaluvuilla a välillä 1...n-1, mikäli n on alkuluku. Yhtälö voi olla voimassa joillekin kantaluvuille a, vaikka n olisi yhdistetty luku. Erityisesti jos n kuuluu Charmichaelin lukuihin (mm. 561, 1105,...), alkulukutesti saattaa mennä läpi useilla kantaluvuilla a, joita kutsutaan tällöin nimellä Fermat n liar. Fermat n testiä käytettäessä tulee käyttää riittävää määrää kantalukuja a testituloksen varmistamiseksi, mikäli testi menee läpi. Tuloksen luotettavuuden yhteyttä kierrosten määrää ei tunneta.

32 Rabin Miller -alkulukutesti 1. Valitse satunnainen kantaluku a välilä 2 (p-1) 2. Erota p-1:stä luvun 2 potenssit => Ts. esitä p-1 muodossa p-1 = 2 s r, missä r on pariton. 3. Laske jono : 2 p-1 mod p, 2 (p-1)/2 mod p, 2 (p-1)/4 mod p, lukuun a r mod p saakka. Jonon tulisi alkaa luvulla 1, seuraava luku tulisi olla 1 tai p-1. Pysähdy, jos tulos on p-1. Jos jotain muuta kuin 1 tai p-1 esiintyy jonossa, p ei ole alkuluku. 4. Toista askeleita 1 3 k kertaa eri kantaluvuilla a. Jos testi menee läpi joka kerta, todennäköisyys sille, että p on alkuluku > 1 1 / 4 k. 99% varmuus saavutetaan jo neljällä eri satunnaisesti valitulla kantaluvulla. Testi perustuu siihen faktaan, että mikäli p on alkuluku, kertolaskuryhmässä luvun 1 neliöjuuri voi olla vain 1 tai -1 eli p- 1

33 Esim. Alkulukutesti luvulle 561 Kyseessä on ensimmäinen Carmichaelin luku, josta tiedetään, että Fermat n testi saattaa antaa useilla kantaluvuilla vääriä tuloksia. 1) Fermat n testi kantaluvuilla 5, 2, mod 561 = 1 testi menee läpi mod 561 = 1 testi menee läpi mod 561 = 375 vasta kantaluku 3 osoittaa, että 561 ei ole alkuluku 1) Rabin Miller -testi kantaluvulla 5 Kirjoitetaan p 1 = 560 muodossa 560 = 2 5 * mod 561 = mod 561 = 67 Koska tämä ei ole 1 tai 560, päätellään, että 561 ei ole alkuluku Rabin Miller testiin riitti yksi kantaluku, kun Fermat n testi antoi oikean tuloksen vasta kolmannella yrityksellä.

34 Rabin- Miller esimerkki Onko p = alkuluku? Erotetaan p-1: stä 2:n potenssit : p - 1= = 2 2 * Testi kantaluvulla a = 7 : 7 p 1 mod p = mod = 1 7 (p-1)/2 mod p = mod Viimeinen tulos = p-1 => p läpäisi testin kantaluvulla a = 7 Testi kantaluvulla a = 16 : 16 p 1 mod p = mod = 1 16 (p-1)/2 mod p = mod = 1 16 (p-1)/4 mod p = mod = 1 => p läpäisi testin kantaluvulla a = 16 Kierrosten määrä yo. testissä k = 2. Luku p on alkuluku todennäköisyydellä > 1 1/4 k = 93.7 %

35 Muita tarvittavia algoritmeja POWERMOD: NOPEA POTENSSIIN KOROTUS a b mod n Algoritmi on nopea, ja tarvitsee muistia enintään n 2 verran. Example 7 11 mod mod 13 = 7 10 *7 mod 13 = 49 5 *7 mod 13 = 10 5 *7 mod 13 = 10 4 *(7*10) mod mod 13 = 5 = * 5 mod mod 13 = 9 = 9 2 * 5 mod 13 = 81*5 mod mod 13 = 3 = 3*5 mod 13 = 15 mod 13 = 2 1. Jos b on parillinen, puolita se ja neliöi samalla kantaluku mod n 2. Jos b on pariton, kirjoitetaan a b muodossa a*a b-1 ja parilliseen sovelletaan kohdan 1 menettelyä

36 Muita tarvittavia algoritmeja SUURIN YHTEINEN TEKIJÄ GCD Suurin yhteinen tekijä GCD (greatest common divisor) lasketaan Eucleiden algoritmilla soveltaen jakoalgoritmia useita kertoja perättäin. Esim. Laske GDC(13,5) 13 = 2* = 1* = 1*2 + 1 < = GDC on viimeinen 0:sta eroava jakojäännös 2 = 2*1 + 0 Algoritmissa edellisen vaiheen jakaja siirtyy jaettavaksi, ja jakojäännös siirtyy jakajaksi.

37 a:n käänteisluvun laskeminen mod n GCD(a,n):n laskemisen yhteydessä saatu jakoalgoritmien jono Käännetään ja esitetään GCD(a,n) = 1 lukujen a ja n lineaariyhdistelmänä. 1 = k*a + s*n a:n kerroin k lineaariyhdistelmässä on käänteisluku a -1 mod n Esim. Laske 5-1 mod 13 lähtien GCD :n iteraatiosta: 13 = 2* = 1* = 1*2 + 1 < = gcd Algoritmi käännettynä antaa lineaariyhdistelmän 1 = 3 1*2 eliminoidaan 2 käyttäen seur. Yhtälöä 1 = 3 1*(5 1*3) = = 2*3 5 eliminoidaan 3 1 = 2*(13 2*5) 5 = 2*13 4*5 5 = 2*13 5*5 Luvun 5 käänteisluku on sen kerroin lineaariyhdistelmässä = -5 mod 13 = 13 5 = 8. Tarkistus: 5*8 mod 13 = 40 mod 13 = 1

38 Satunnaislukujen generointi Salausavaimet luodaan usein satunnaislukugeneraattorilla. Hyökkäys salausavaimia vastaan on huomattavasti helpompaa, jos jotkut satunnaisluvut ovat todennäköisempiä kuin toiset. Satunnaislukugeneraattori voi olla salausprotokollan heikko kohta, vaikka kaikki muu olisi kunnossa. Yksi tämän vuosikymmenen skandaaleista oli se, kun Eduard Snowden paljasti, että SSLyhteyksissä yleinen satunnaislukugeneraattori Dual EC-DRBG sisälsi tietoisen takaportin, joka tarjosi NSA:lle mahdollisuuden murtaa salausavaimia ja kuunnella suojattuja yhteyksiä. On väitetty, että mm. RSA laboratories on auttanut levittämään tätä satunnaisluku- generaattoria tuotteidensa välityksellä. SATUNNAISLUKUGENERAATTORIN KÄYTTÖ Haastelukuina autentikoinnissa Salausavaimina RSA:n avainten luonnissa DH:ssa osapuolten yksityisinä avaimina Kertakäyttösalasanoja generoivissa laitteissa Kuva laitteesta joka luo minuutin välein uuden 7 -numeroisen salasanan.

39 Satunnaislukugeneraattorien tuottamien bittijonojen vaatimuksia: 1. Binäärimuodossa esitettyinä generaattorin tuottamien lukujen tulee sisältää yhtä paljon ykkösiä kuin nollia 2) Todennäköisyydet 1,2,3 ja 4 pituiselle saman pitin toistolle: 1, 11, 111, 1111, ( tai 0, 00, 000, 000 ) tulisi olla ½, ¼, 1/8, 1/16, 3) Kun bittijonoon tehdään määrätyn bittimäärän suuruinen rotaatio, ja lasketaan sen jälkeen alkuperäisen ja uuden jonon bittien samat ja eroavat bitit, niiden määrien pitäisi olla likimain samat: 50%. Kryptografisia vaatimuksia: 4) Kaikilla satunnaislukugeneraattoreilla on periodi. Tietyn bittimäärän jälkeen ne alkavat tuottaa samoja bittejä alusta. Salauksessa käytettyjen satunnaislukugeneraattorien periodin pitäisi olla riittävän suuri. 5) Jos tunnetaan osajono satunnaislukugeneraatorin tuottamista biteistä, ei saisi olla mahdollista laskea niistä edellisiä ja seuraavia bittejä.

40 ElGamal -salaus - Perustuu Diffie-Hellman avaimenvaihtoprotokollaan. ElGamal algoritmissa sovitaan samassa algoritmissa symmetrinen avain ja käytetään sitä viestien salaamiseen. Lohkosalainta ei tarvita. Alice salaa viestin m 1. Alice hakee serveriltä Bob:n julkiset avaimet 2. Alice generoi oman yksityisen avaimen a ja laskee julkisen avaimen Ya = g a mod p 3. Alice laskee salausavaimen K = Y ba mod p 4. Alice laskee salakirjoituksen C = K*M mod p Ja lähettää Bob:lle parin (Ya, C) Bob:n yksityinen avain = b Bob:n julkiset avaimet ovat p = alkulukumodulus g = generoiva alkio y b = g b mod p ElGamal on käytössä GNU Privacy Guard salausohjelmistossa. Bob purkaa salauksen 5. Bob laskee avaimen K = Y ab mod p 6. Bob laskee avaimen K käänteisluvun K -1 mod p 7. Bob purkaa salauksen M = K -1 *C mod p